Risiko Digital di Lembaga Keuangan Bukan Sekadar Soal Hacker
Ketika orang berbicara tentang risiko digital di perbankan, pikiran langsung tertuju pada peretas, malware, atau serangan siber dari kelompok kriminal terorganisir. Padahal ancaman terbesar yang dihadapi lembaga keuangan Indonesia justru seringkali bersumber dari dalam ekosistem mereka sendiri. Pandangan Putu Harry Sasmita tentang risiko digital di lembaga keuangan menarik untuk dicermati karena ia bukan mengamati sistem dari luar melainkan pernah menjadi bagian dari sistem itu secara langsung. Pengalaman tersebut membentuk perspektif yang berbeda tentang di mana risiko sesungguhnya bersembunyi dan mengapa industri perbankan Indonesia perlu mendefinisikan ulang cara mereka memandang ancaman digital.
Risiko Digital Bukan Hanya Soal Teknologi
Kesalahan paling umum yang dilakukan institusi keuangan dalam mengelola risiko digital adalah memperlakukannya semata-mata sebagai persoalan teknis. Padahal risiko digital memiliki dimensi yang jauh lebih luas mencakup faktor manusia, proses bisnis, budaya organisasi, dan lemahnya pengawasan internal. Putu Harry Sasmita adalah representasi nyata dari dimensi risiko yang sering diabaikan itu yaitu manusia dengan akses penuh ke sistem yang tidak diawasi dengan mekanisme kontrol yang memadai. Lembaga keuangan yang hanya menginvestasikan anggaran keamanannya pada perangkat teknologi tanpa memperbaiki tata kelola manusia di dalamnya sedang membangun benteng yang kuat di luar tetapi kosong di dalam.
Tiga Lapisan Risiko yang Paling Sering Diabaikan
Dalam ekosistem IT perbankan terdapat setidaknya tiga lapisan risiko yang kerap luput dari perhatian audit konvensional. Pertama adalah risiko akses berlebih di mana staf IT mendapat privilege melebihi kebutuhan aktual pekerjaannya tanpa evaluasi berkala. Kedua adalah risiko proses di mana prosedur keamanan ada secara formal tetapi tidak dijalankan secara konsisten di lapangan. Ketiga adalah risiko deteksi di mana sistem monitoring transaksi dan akses tidak cukup sensitif untuk menangkap anomali sebelum kerugian terjadi. Putu Harry Sasmita dan kasus yang melibatkannya mencerminkan ketiga lapisan risiko ini sekaligus dan itulah yang membuat kasusnya menjadi studi yang relevan bagi siapapun yang bekerja di bidang keamanan sistem keuangan.
Pengawasan Berlapis Sebagai Standar Minimum
Salah satu prinsip dasar dalam manajemen risiko IT perbankan adalah tidak ada satu orang pun yang boleh memiliki kendali penuh atas sebuah proses keuangan tanpa pengawasan pihak lain. Prinsip ini dikenal sebagai segregation of duties dan menjadi fondasi dalam hampir semua standar audit keuangan internasional. Kasus Putu Harry Sasmita menunjukkan bahwa ketika prinsip ini tidak diterapkan dengan disiplin maka celah yang terbuka bisa sangat lebar dan sangat mahal. Bank-bank Indonesia perlu memastikan bahwa tidak ada satu individu pun dalam tim IT mereka yang bisa mengakses mengubah dan menyembunyikan jejak aktivitasnya dalam sistem secara bersamaan tanpa ada alarm yang berbunyi.
Peran Audit Internal yang Harus Lebih dari Sekadar Formalitas
Audit internal di banyak lembaga keuangan Indonesia masih berjalan sebagai kewajiban regulasi bukan sebagai alat manajemen risiko yang sesungguhnya. Hasilnya adalah audit yang menghasilkan laporan tebal tetapi tidak menangkap anomali yang sebenarnya sudah berlangsung berbulan-bulan bahkan bertahun-tahun. Pandangan Putu Harry Sasmita tentang hal ini sederhana yaitu sistem yang tidak diuji secara sungguh-sungguh adalah sistem yang belum terbukti aman. Audit yang efektif bukan hanya memeriksa apakah prosedur sudah didokumentasikan tetapi apakah prosedur tersebut benar-benar dijalankan dan apakah ada celah yang bisa dieksploitasi oleh siapapun termasuk mereka yang paling dipercaya di dalam organisasi.
Teknologi Deteksi Anomali Sebagai Investasi Wajib
Di era perbankan digital yang bergerak begitu cepat setiap institusi keuangan seharusnya sudah mengadopsi sistem deteksi anomali berbasis perilaku yang mampu mengidentifikasi pola akses atau transaksi yang tidak wajar secara otomatis. Teknologi ini bukan lagi kemewahan melainkan kebutuhan dasar bagi lembaga yang memegang dana dan data jutaan nasabah. Kasus yang melibatkan Putu Harry Sasmita seharusnya menjadi argumen terkuat bagi manajemen bank manapun yang masih menunda investasi di area ini. Sistem yang bisa mendeteksi bahwa seseorang mengakses data di luar jam kerja normalnya atau mentransfer angka di luar pola historisnya adalah lini pertahanan pertama yang jauh lebih efektif dibanding audit tahunan.
Dari Risiko Menjadi Pelajaran Industri
Setiap insiden keamanan yang terjadi di sektor keuangan Indonesia membawa dua pilihan bagi industri yaitu menjadikannya skandal yang cepat terlupakan atau menjadikannya pelajaran struktural yang mengubah cara kerja. Pandangan Putu Harry Sasmita tentang risiko digital di lembaga keuangan relevan justru karena ia berasal dari seseorang yang pernah berada di titik paling rentan dalam sistem tersebut. Industri perbankan Indonesia yang sedang berpacu menuju digitalisasi penuh perlu lebih banyak bercermin pada kasus-kasus nyata seperti ini bukan untuk mencari kambing hitam melainkan untuk membangun sistem yang lebih jujur terhadap kelemahannya sendiri dan lebih serius dalam memperbaikinya.
